Кратко съществувалият рансъмуер Ransomed.vc твърди, че е спрял окончателно след редица предполагаеми арести.

Съобщението идва само няколко седмици след като групата обяви, че планира да продаде операцията на „някой, който може да бъде проверен или вече е проверен като доверено лице“.

Два дни след първоначалното съобщение лидерът на групата реши, че ще предложи 20-процентна отстъпка, очевидно в опит да свали бързо инструментите, след като преди това посочи вниманието на властите като причина за продажбата.

Последната и изглежда последна актуализация от Ransomed.vc дойде в сряда чрез канала ѝ в Telegram, като в нея се казва, че шестима души, свързани с лидера на групата, може би са били арестувани.

„Печалбата, която реализирахме, не си заслужава съсипването на живота на нито един от нашите филиали, всички наши 98 филиали вече са официално уволнени. Съжаляваме за не толкова дългото функциониране на групата, но се случи така, че някои от децата не могат да имат нормален опсек“, гласеше съобщението.

По-късно в него се казваше, че групата е твърде зависима от „новородени хлапета“ на възраст около 20 години – лица, които вероятно така или иначе ще попаднат в затвора, поне по мнението на контролиращите канала.

„Не съжаляваме за нито едно от нашите нарушения, нито за откупуването на някой от нашите „клиенти“ и „потребители“. Направили сме повече от всеки друг в рамките на толкова малък период от време, но това е така, защото наемахме всеки на всякаква възраст без особени умения в областта на опсек, това е най-вече тяхна вина, но не искам да използват моя проект(и) като подиум, за да бъдат хванати.“

След публикуването на съобщението лидерът на групата е изтрил акаунта си в Telegram, използван за личен контакт, така че допълнителна информация няма да бъде предоставена.

Ransomed.vc е създадена едва през август, като се прочу, след като заяви, че стои зад една от двете атаки срещу Sony тази година.

Sony щеше да бъде най-значимият скалп на групата по време на краткия ѝ мандат, но скоро след това светлината на прожекторите беше открадната от нея.

След това отделна страна заяви, че атаката е нейна, като изтекоха данните, които Ransomed.vc заяви, че е откраднала, преди самата група, което постави под съмнение легитимността на твърдението.

Изследователи по сигурността от Resecurity също заявиха, че твърдението ѝ за атака срещу най-големия японски телекомуникационен оператор NTT Docomo е съмнително по същата причина. Преди Ransomed.vc киберпрестъпник отново изнесе данни в BreachForums – същите, за които групата твърдеше, че е откраднала.

През седмиците, предшестващи планираната продажба на Ransomed.vc, началото на нейния край, групата започна да публикува хаотично, като един от примерите беше очевидна клеветническа кампания срещу изпълнителен директор по киберсигурност.

Постовете, съвсем невероятно, обвиняваха изпълнителния директор, че е нападател в киберпространството – твърдения, които той категорично отричаше, наричайки ги атака срещу репутацията си и отбелязвайки, че „престъпниците лъжат, дори и особено групите за откуп“.

Остава вероятността лицето(ата), което(които) стои(т) зад Ransomed.vc, да се скрие(т) за известно време, преди да се завърне(т), вероятно под нов псевдоним и марка.

Това е техника, която често се повтаря в света на рансъмуера, както когато BlackMatter се смяташе за прикрит DarkSide, когато .sZ40 стана Lorenz или съвсем наскоро, когато Hunter’s International се смяташе за прероден Hive. ®

Основателят на Poloniex предложи да плати на крадците, които при нахлуване в петък източиха около 120 млн. долара потребителски средства от борсата за криптовалути.

Джъстин Сун, който е основал и валутната система Tron Foundation, предложи така наречената „награда за бяла шапка“ на тези, които са източили портфейла на борсата, в замяна на изплащане на останалата част от откраднатите средства. В противен случай детските ръкавици се свалят.

„Предлагаме пет процента награда за бяла шапка на хакера от Poloniex“, написа Сун. „Моля, върнете средствата в следните портфейли ETH/TRX/BTC. Ще ви дадем 7 дни, за да обмислите тази оферта, преди да ангажираме правоприлагащите органи“.

Тази петпроцентна награда ще струва до 6,5 милиона долара, смятаме ние.

Основателят направи съобщението малко след като борсата заяви, че е деактивирала портфейла си, посочвайки като причина „поддръжка“. Възможно е екипировката да е успяла да спре кражбата на част от дигиталните пари или на по-голяма част от тях; това не е напълно ясно.

„Екипът на Poloniex успешно идентифицира и замрази част от активите, свързани с адресите на хакера“, твърди Сун. „Понастоящем загубите са в управляеми граници и оперативните приходи на Poloniex могат да покрият тези загуби.

„Освен това екипът е възстановил системите на Poloniex, запазил е съответните доказателства и през следващите дни ще работим усърдно за постепенното възобновяване на депозитите и тегленията в Poloniex, като гарантираме 100-процентова сигурност. Извиняваме се за всички неудобства, които това може да е причинило.“

Компанията за блокчейн сигурност SlowMist събра всички данни, свързани с атаката срещу Poloniex, в публично достъпна електронна таблица. Към момента на писане на статията атаката е довела до кражба на криптовалутни активи на стойност 130 млн. долара в стотици транзакции.

Cyvers, друга компания за сигурност на блокчейн, беше сред първите, които предупредиха обществеността за нещастието в Poloniex в 1055 UTC на 10 ноември, заявявайки, че са направени множество подозрителни тегления от горещия портфейл на борсата. Около час по-късно Sun потвърди, че борсата е наясно с проблемите и провежда разследване.

Според данните на SlowMist нападателят е източил безброй видове токени. Сканирането на блокчейн на Ethereum и Tron, собственост на Sun, разкри, че портфейл, озаглавен „хакер от Poloniex“, масово разтоварва активи в замяна на токени Ethereum и Tron.

PeckShield направи разбивка на загубите по отделните блокчейн вериги:

• Етериум – 56 млн. долара
• Tron – 48 млн. долара
• Биткойн – 18 милиона долара

Инцидентът в Poloniex е последният от дългата поредица високопрофилни атаки за източване на портфейли в блокчейн общността.

Миналата седмица проектът Monero обяви, че от един от неговите портфейли, запазен за инициативи за групово финансиране на общността, са били източени XMR на стойност над 400 000 долара.

Смята се, че подгрупа на спонсорираната от държавата Северна Корея офанзивна кибероперация Lazarus, проследена като „BlueNoroff“, стои зад поне някои от атаките, които продължават от април.

В разговор с The Register експертът по киберсигурност Доминик Алвиори заяви, че макар ключовите факти все още да не са установени, атаката срещу Poloniex изглежда има същия почерк като предишните работи на Lazarus.

Що се отнася до начина, по който е бил източен проектът Monero, водещите поддръжници все още нямат отговори. Експерти от бранша посочиха пробива на LastPass през 2022 г. като възможен метод за кражба на семена от портфейли – идея, която LastPass опроверга. ®

Екипът на LockBit твърди, че е изнесъл всички данни, които е откраднал от Boeing в края на миналия месец, след като гигантът за пътнически самолети очевидно е отказал да плати искания откуп.

Бандата е изхвърлила файловете онлайн рано сутринта в петък. Последното изтичане включва около 50 GB данни под формата на компресирани архиви и резервни файлове за различни системи.

Пълното публикуване идва, след като изнудвачите качиха някои файлове, за които се твърди, че са свързани с финансите и маркетинговите дейности на компанията, както и данни за доставчиците.

Скрийншоти на откраднатата информация показват няколко лога на Citrix, което доведе до някои предположения, че LockBit са използвали Citrix Bleed, за да проникнат в системите на отбранителния изпълнител. Засега Boeing отказва да коментира първоначалната точка на проникване в системите си.

Нито едно от изхвърлянията на данни не е потвърдено от The Register, а Boeing отказа да отговори на конкретни въпроси относно инцидента или откраднатите файлове. Говорител ни изпрати този коментар по електронната поща:

Според изследователя по сигурността Доминик Алвиори файловете са съдържали и корпоративни имейли.

„Не съм прегледал целия набор от данни, но имейлите на Boeing и няколко други се открояват като полезни за тези със злонамерени намерения“, каза Алвиери пред The Register.

LockBit за пръв път включи самолетния гигант в своя сайт в тъмната мрежа на 28 октомври, а на 2 ноември Boeing потвърди пред The Register, че е претърпял ИТ проникване. По това време говорител заяви, че пробивът е засегнал бизнеса на производителя с части и дистрибуция.

Дотогава обаче екипът на откупващия софтуер е премахнал Boeing от своя сайт за изтичане на информация и е съобщил на библиотекарите на зловредния софтуер във VX Underground, че преговаря с американската корпорация. Изглежда, че преговорите са се провалили – или може би мултинационалната компания е преценила, че престъпниците не са получили достъп до никаква чувствителна информация и по този начин няма да се изплати да плати искането за изнудване, или пък всъщност никога не е имало преговори – и сега Boeing отново е на сайта за изнудване LockBit

Също така тази седмица най-голямата китайска банка ICBC беше засегната от атака с цел получаване на откуп, която наруши работата на системите за финансови услуги в четвъртък пекинско време. LockBit заяви пред VX-Underground, че е отговорен и за този пробив. ®

Азия накратко Националният координатор по киберсигурност на Австралия определи атаката срещу логистичната компания DP World като „киберинцидент от национално значение“.

В резултат на атаката техниката на DP World в четири австралийски пристанища излезе от строя късно миналия петък. Към момента на изготвяне на доклада съоръженията остават затворени.

Големият доставчик на логистични услуги обработва 40 % от контейнерите, които влизат в австралийските пристанища – така че макар инцидентът да не е спрял всички стоки, които влизат и излизат от страната, въздействието е значително. Властите увериха жителите, че важни доставки могат да бъдат разтоварени.

Характерът на прекъсването не е разкрит, а националният координатор по киберсигурност обеща, че приоритет е възстановяването на услугите, а приписването на вината е задача за друг ден.

В неделя DP World уведоми, че прекъсванията ще продължат „по-скоро няколко дни, отколкото седмици“.

– Саймън Шърууд

Cloud Software Group напуска Китай

Cloud Software Group, компанията майка на Citrix, стана последният технологичен играч, който напуска Китай.

Според Wall Street Journal, Cloud Software Group е съобщила на своите клиенти и партньори в имейл, че на 3 декември 2023 г. ще спре всички нови търговски сделки в Китай, включително Хонконг, поради нарастващите разходи.

Поддръжката и обслужването на съществуващите договори ще продължат.

Сред другите компании, които са напуснали Китай, са LinkedIn на Microsoft, Yahoo и Salesforce.

The Register многократно поиска от Cloud Software Group интервю през 2023 г., но без успех.

Още един високопоставен китайски технологичен ръководител е обявен за изчезнал

Многобройни източници, включително китайското издание CaiLian Press и Financial Times съобщиха, че председателят и главен изпълнителен директор на китайския сайт за стрийминг на игри DouYu.com е изчезнал.

Чен Шаоцзие е бил видян за последен път на 14 август по време на разговора за приходите на фирмата му за второто тримесечие. Според FT Чен е бил отведен от китайските власти.

През май т.г. DouYu беше разследван от Администратора на киберсигурността на Китай (CAC) за проблеми, свързани с неподходящо съдържание в платформата, и му беше даден месец за отстраняване на проблемите. Оттогава CAC продължава да полага усилия за коригиране и изчистване на китайското интернет пространство от материали, които смята за неподходящи.

Смята се, че съоснователят на Alibaba Джак Ма също така е излязъл в дълга непланирана ваканция с любезното съдействие на Пекин. Той стана подозрително тих през октомври 2020 г., след като публично даде някои нежелани съвети относно финансовите регулаторни системи на Китай. Оттогава се появява отново – включително в едно училище през март 2023 г. – но остава предимно извън полезрението на обществеността.

Камбоджа депортира японски измамници

На 6 ноември Камбоджа депортира петима японски граждани, задържани преди това за участие в онлайн измами.

Според японски медии се смята, че групата е извършвала телефонни измами, насочени към японски граждани.

„В миналото Камбоджа се превърна в страна жертва, тъй като чужденците винаги използват Камбоджа като тайно място за извършване на престъпления, което вреди на репутацията на Камбоджа на международната сцена“, оплаква се заместник-генералният директор на имиграционния отдел на Камбоджа Кео Внатон.

„В същото време Министерството на вътрешните работи издаде директна заповед до съответните органи, особено до генералния комисар на Националната полиция и Генералната дирекция на имиграцията, да си сътрудничат с научните изследвания за ефективно пресичане на всички видове трансгранични престъпления“, добави той.

Micron открива нов завод за DRAM в Тайван

Миналата седмица Micron откри нов завод за DRAM в Тайчунг, Тайван. Компанията съобщи на инвеститорите, че заводът ще произвежда масово памет HBM3E и други продукти.

Производителят на чипове заяви, че фабриката играе „ключова роля в разширяването на производствения капацитет на 1-beta процеса и HBM3E в Япония и Тайван, както и в масовото производство на 1-gamma процеса, използвайки EUV технологията за 2025 г.“.

Infosys и AWS сключват сделка за облачни банки в региона на Европа, Близкия изток и Африка

Индийската компания Infosys сключи сделка с AWS за въвеждане на облачна трансформация във финансовите институции.

„Тригодишното сътрудничество ще достави технологична трансформация и специфични за индустрията решения на финансовите организации, подкрепени от съвместни инвестиции във възможностите за излизане на пазара и доставка в региона на ЕМЕА“, се обяснява в консервирано изявление.

Нетната печалба на Singtel се покачва, докато Optus се срива

Ден след като дъщерното дружество на Singtel Optus преживя хаотичен и широко разпространен срив в Австралия, компанията майка обяви[PDF] 83% увеличение на нетната печалба за полугодието.

Увеличението се дължи на сливането на най-големия доставчик на фиксиран широколентов достъп в Индонезия, Telkomsel, от който Singtel притежава малко над 30 %.

Други новини …

През изминалата седмица азиатските бюра на The Register отразиха новината, че Китай възнамерява да разполага с надеждна верига за доставки на хуманоидни роботи през следващите четири години, което не би трябвало да е ужасяващо за никого.

Междувременно продължаващите антагонистични отношения между САЩ и Китай бяха оспорени от технологични експерти, които твърдят, че те носят повече вреда, отколкото полза, особено по отношение на отворените технологии като RISC-V.

Законодателите в Съединените щати, които се опасяват, че Китай и Русия могат да изпреварят в надпреварата за създаване на квантови компютри, заявиха намерението си да хвърлят милиарди за решаване на проблема, за да стимулират американските изследвания в тази област.

От своя страна Китай изкупува цялото оборудване за производство на чипове, което може да му бъде предоставено, преди все по-строгите правила да прекъснат напълно веригите му за доставки, което доведе до краткосрочна печал ба за холандския производител ASML.

Кралят на ускорителния хълм Nvidia вече се е адаптирал към ограничената среда и е разработил чипове, специално за да заобиколи възможно най-близо до границите на това, което е законно да се доставя в Близкия изток, без да се превишава – защото бизнесът си е бизнес.

По-малко обнадеждаващи новини за Китай: най-голямата банка на страната беше засегната от атака с откуп, която извади от строя бизнеса ѝ с финансови услуги за няколко дни – което може да има сериозни последици за нейните партньори и клиенти.

Прегряващ център за данни в Сингапур прекъсна милиони транзакции на двете банки, чиито операции се извършваха в него, след като системата за охлаждане отказа, а след това собствените планове на банките за възстановяване след бедствие не успяха да се задействат – това не е добра новина за страна, която едновременно е все по-зависима от цифровите транзакции и изпитва последиците от изменението на климата.

Накрая индийското правителство обяви, че се бори с дълбоките фалшификати, като нареди на платформите на социалните медии да премахват такова съдържание в рамките на 36 часа след подаването на сигнал, в противен случай ще бъдат наложени санкции. ®

Академично проучване показва как е възможно някой да следи SSH връзките на определени устройства и с малко късмет да се представи за това оборудване, след като безшумно разбере частните RSA ключове на хостовете.

Като се представи за тези устройства, при атаки тип „човек по средата“, използвайки тези изведени частни ключове на хостовете, шпионинът би могъл да наблюдава безшумно данните за вход на потребителите и, като препраща връзките към истинското оборудване, да следи действията на тези потребители с отдалечените SSH сървъри. Обикновено SSH се използва за влизане в дадено устройство и управлението му чрез интерфейс с команден ред, въпреки че има и други приложения.

Казано ни е, че частните ключове на хоста RSA могат да бъдат получени чрез пасивно наблюдение на връзките от клиенти към SSH сървъра на уязвимото устройство: случайни или естествено възникнали изчислителни грешки по време на генерирането на подписа могат да бъдат наблюдавани и използвани за изчисляване на идеално тайния частен ключ на SSH сървъра.

Под естествено възникващи грешки разбираме грешки, причинени от космически лъчи и други малки грешки, които обръщат битове, а под случайни грешки разбираме лошо реализирани алгоритми за генериране на RSA подписи. Човек би си помислил, че първите се срещат толкова рядко, че никой няма да може да се възползва реално от тях, а за вторите вече ще се знае, но сме сигурни, че ако наблюдавате достатъчно SSH връзки към уязвим SSH сървър, в крайна сметка ще видите такава, която можете да използвате.

Тук е важно да се посочи, че не е известно софтуерните библиотеки OpenSSL и LibreSSL, а следователно и OpenSSH, да са уязвими към гореспоменатия метод за приспадане на ключове. Това означава, че според нас огромното мнозинство от устройствата, сървърите и другото оборудване в интернет не са изложени на риск, а това, което ви остава, са някои Internet-of-Things и подобни вградени съоръжения, податливи на атака. Освен това тя засяга само RSA ключовете.

Подробности

Изследването[PDF] е извършено и написано от Киган Райън, Кайвен Хе, Джордж Арнолд Съливан и Надя Хенингер от Калифорнийския университет в Сан Диего (Кайвен Хе работи и в Масачузетския технологичен институт.) Техниката, която екипът е използвал, за да разпознае частните RSA ключове, произтича от изследването на Флориан Ваймер за разбиване на TLS през 2015 г., както и от работата през 2022 г. на няколко от авторите на статията в Сан Диего и други изследвания, датиращи от десетилетия назад, от 90-те години на миналия век.

Инфосек гуруто Томас Птачек, който се изказа много ласкаво за съавтора на изследването от 2023 г. Надя Хенингер, сподели резюме на документа за RSA ключовете тук, ако се нуждаете от лесна за разбиране разбивка на проблема. Дължим шапка и на бившия лешояд на „Реджистър“ Дан Гудин, който в понеделник ни предупреди чрез Ars Technica за документа на Калифорнийския университет в Сан Диего.

По същество, когато клиент се свързва с уязвим SSH сървър, по време на преговорите за установяване на сигурна и криптирана комуникация, сървърът генерира цифров подпис, който клиентът проверява, за да се увери, че говори със сървъра, с който очаква да говори.

Изчисляването на този подпис може да бъде нарушено случайно или инцидентно, както описахме по-горе, по начин, по който интелигентни алгоритми могат да открият от лошия подпис частния RSA ключ на сървъра, който се използва при генерирането на подписа. Една от мерките за противодействие е да се гарантира, че подписът е правилен, преди да се изпрати на клиента; OpenSSL и LibreSSL вече правят това.

Както авторите на статията посочват в резюмето си:

„Пасивен противник може спокойно да следи легитимни връзки, без да рискува да бъде открит, докато не забележи дефектен подпис, който разкрива частния ключ“, заключава екипът. „След това нападателят може активно и незабележимо да се представи за компрометирания хост, за да прихване чувствителни данни.“

Специалистите твърдят, че са сканирали интернет и са прегледали предварително събрани данни за сканиране на SSH, за да измерят разпространението на уязвимите подписи, и заявяват, че техният набор от данни от около 5,2 милиарда SSH записи, обхващащ повече от седем години наблюдения, съдържа повече от 590 000 невалидни RSA подписа.

Използвайки своята техника за възстановяване на ключове с решетка, учените твърдят, че повече от 4900 от тези дефектни подписи разкриват факторизацията на съответния публичен ключ RSA, която те използват, за да получат частните ключове RSA за 189 от тези публични ключове.

По време на изследването си авторите са открили четирима производители, чиито продукти са уязвими към този вид търсене на ключове: Cisco, Zyxel, Hillstone Networks и Mocana. Изследователите са разкрили проблема на Cisco и Zyxel и отбелязват, че и двамата производители „са провели незабавно разследване“.

Cisco установи, че софтуерът ASA и FTD е отстранил проблема през 2022 г., а преди публикуването на статията „проучваше възможностите за намаляване на риска“ за софтуера IOS и IOS XE.

Междувременно Zyxel стигна до заключението, че недостатъкът е засегнал само нейния фърмуер в края на жизнения цикъл, а до този момент е започнала да използва неуязвимия OpenSSL, който, както казахме, е имунизиран срещу този проблем. Изследователите казват, че не са успели да се свържат с Hillstone Networks и Mocana и вместо това са изпратили проблема в Координационния център на CERT.

Твърди се, че уязвима е и имплементацията на SSH сървър, обявяващ се като „SSH-2.0-SSHD“, която може да се използва от някои Java приложения от корпоративен клас. Тъй като техниката за преподаване на ключове се върти около PKCSv1.5, DNSSEC, който използва PKCSv1.5-RSA подписи, също може да бъде изложен на риск.

Те също така отбелязват, че наборът от данни за подписи в IPsec връзки не е достатъчно голям, за да се заключи дали този протокол е уязвим на подобно изтичане на ключове: „Като се има предвид рядкостта на уязвимите грешки в подписите, ние не сме в състояние да заключим много за реализациите на IPsec от нашите данни и смятаме, че този въпрос заслужава по-нататъшно проучване.“ ®